TeamPCP-orm

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare, Ormer

Oversett til:

Forskere innen nettsikkerhet har avdekket en omfattende, ormedrevet kampanje som systematisk retter seg mot skybaserte miljøer for å konstruere ondsinnet infrastruktur for senere utnyttelse. Aktivitet knyttet til denne operasjonen ble observert rundt 25. desember 2025, og avslører en koordinert innsats for å misbruke eksponerte tjenester og sårbarheter på tvers av moderne skystakker.

Innholdsfortegnelse

TeamPCP: En raskt voksende trusselklynge

Kampanjen har blitt tilskrevet en trusselklynge sporet som TeamPCP, også kjent under alias som DeadCatx3, PCPcat, PersyPCP og ShellForce. Bevis tyder på at gruppen har vært operativ siden minst november 2025, med relatert Telegram-aktivitet som går tilbake til 30. juli 2025. TeamPCP Telegram-kanalen, som har vokst til mer enn 700 medlemmer, brukes til å publisere stjålne data knyttet til ofre i Canada, Serbia, Sør-Korea, De forente arabiske emirater og USA.

Forskere dokumenterte først skuespillerens operasjoner i desember 2025 under betegnelsen Operasjon PCPcat.

Opportunistisk misbruk av skybaserte svakheter

TeamPCP opererer som en skybasert plattform for nettkriminalitet, og utnytter eksponerte administrasjonsgrensesnitt, vanlige feilkonfigurasjoner og kritiske sårbarheter, inkludert den nylig avslørte React2Shell-feilen (CVE-2025-55182, CVSS 10.0). De primære infeksjonsveiene som ble observert i kampanjen inkluderer:

Eksponerte Docker API-er, Kubernetes API-er, Ray-dashboards, Redis-servere og sårbare React/Next.js-applikasjoner

Disse svakhetene utnyttes ikke for å målrette spesifikke bransjer, men for å opportunistisk ta over infrastruktur, oftest innenfor Amazon Web Services- og Microsoft Azure-miljøer, noe som gjør berørte organisasjoner til indirekte ofre.

Industrialisert utnyttelse i stor skala

I stedet for å stole på nye teknikker, vektlegger TeamPCP skalering og automatisering. Operasjonen kombinerer etablerte verktøy, kjente sårbarheter og bredt dokumenterte feilkonfigurasjoner for å industrialisere utnyttelse. Kompromitterte miljøer transformeres til et selvutbredende kriminelt økosystem som støtter skanning, lateral bevegelse, vedvarende håndtering og inntektsgenerering.

De overordnede målene inkluderer å bygge distribuert proxy- og skanneinfrastruktur, eksfiltrere data, distribuere ransomware, gjennomføre utpressingskampanjer og utvinne kryptovaluta. Kompromitterte eiendeler blir også ombrukt til datahosting, proxy-tjenester og kommando- og kontrollreléer.

Modulære nyttelaster og skytilpassede verktøy

Vellykket første tilgang muliggjør levering av sekundære nyttelaster fra eksterne servere, vanligvis i shell- eller Python-format, designet for å utvide kampanjens rekkevidde. En sentral komponent, proxy.sh, installerer proxy-, peer-to-peer- og tunnelverktøy samtidig som den distribuerer skannere som kontinuerlig undersøker internett for nye sårbare mål.

Det er verdt å merke seg at proxy.sh utfører fingeravtrykksanalyse av kjøretidsmiljøet for å avgjøre om det kjører i en Kubernetes-klynge. Når et slikt miljø oppdages, følger skriptet en separat utførelsesbane og distribuerer klyngespesifikke nyttelaster, noe som understreker gruppens skreddersydde tilnærming til skybaserte mål.

En delmengde av de støttende nyttelastene inkluderer:

scanner.py, som laster ned CIDR-områder fra en GitHub-konto tilknyttet DeadCatx3 for å finne feilkonfigurerte Docker API-er og Ray-dashboards, med valgfri kryptovalutautvinning via mine.sh
kube.py, som fokuserer på Kubernetes-legitimasjonsinnsamling, API-basert oppdagelse av poder og navnerom, forplantning gjennom tilgjengelige poder og persistens via privilegerte poder montert på hver node
react.py, som utnytter et React-sårbarhet (CVE-2025-29927) for å oppnå fjernutførelse av kommandoer i stor skala
pcpcat.py, som skanner store IP-områder for eksponerte Docker API-er og Ray-dashboards og distribuerer skadelige containere eller jobber som kjører Base64-kodede nyttelaster

Kommando- og kontrollfunksjoner og etterutnyttelseskapasiteter

Forskere har koblet en kommando- og kontrollnode på 67.217.57[.]240 til operasjonen, og bemerker overlappinger med bruken av Sliver, et legitimt åpen kildekode-C2-rammeverk som ofte misbrukes av trusselaktører i etterkant av utnyttelse.

En hybrid inntektsmodell bygget for robusthet

PCPcat-kampanjen demonstrerer en komplett angrepslivssyklus, skanning, utnyttelse, persistens, tunnelering, datatyveri og inntektsgenerering, spesielt utviklet for skyinfrastruktur. Den primære faren TeamPCP utgjør ligger ikke i teknisk innovasjon, men i driftsintegrasjon og skalering. De fleste utnyttelser og skadelig programvare utnytter kjente sårbarheter og lett modifiserte verktøy med åpen kildekode.

Samtidig blander gruppen misbruk av infrastruktur med datatyveri og utpressing. Lekkede CV-databaser, identitetsregistre og bedriftsdata publiseres gjennom ShellForce for å fremme ransomware-operasjoner, svindel og omdømmebygging innenfor økosystemet for nettkriminalitet. Denne doble inntektsstrategien, som drar nytte av både dataressurser og stjålet informasjon, gir flere inntektsstrømmer og øker motstandskraften mot forstyrrelser og nedtakelser.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

TeamPCP-orm

TeamPCP: En raskt voksende trusselklynge

Opportunistisk misbruk av skybaserte svakheter

Industrialisert utnyttelse i stor skala

Modulære nyttelaster og skytilpassede verktøy

Kommando- og kontrollfunksjoner og etterutnyttelseskapasiteter

En hybrid inntektsmodell bygget for robusthet

Legg inn kommentar

Trender

Svindel med IMAP/POP3-e-postserververifiseringsfeil

Taqw Ransomware

Falsk Moltbot AI-kodingsassistent

Mest sett

Skadevare

'Geek Squad' e-postsvindel

Hva er 'msedgewebview2.exe'?